Aumentare i livelli di sicurezza aggiungendo un pepper alle password

Justyna Obara
Cybersecurity Content Writer
Password pepper

Per quanto riguarda la sicurezza delle password, più livelli di protezione ha il tuo sistema di sicurezza personale o aziendale, meglio è. Non esiste un servizio online infallibile: gli hacker potrebbero utilizzare chissà quale tattica malevola per accedere ai tuoi account. Tuttavia, un pepper costituisce un ulteriore livello di sicurezza che protegge la tua password da attacchi di forza bruta, attacchi a dizionario e tabelle arcobaleno. Continua a leggere per scoprire cos'è il pepper di una password, come funziona e come può migliorare la tua cybersecurity.

Cos'è il pepper di una password?

Il pepper di una password è un elemento strettamente collegato al processo di hashing delle password . I siti web non memorizzano le password in chiaro degli utenti perché ciò consentirebbe a chiunque vi possa accedere di visionarle. Nella maggior parte dei casi, tali password vengono sottoposte a hashing, ovvero gli algoritmi di crittografia le convertono in complicate stringhe di caratteri. In questo modo, anche se il database di un sito web viene violato, gli hacker dovranno decrittografare gli hash per entrare in possesso delle credenziali degli utenti.

Un pepper è un valore segreto (una stringa casuale di caratteri) che viene aggiunto alla password prima che venga effettuato l'hashing. A differenza di un salt, che è un altro elemento crittografico che serve ad aggiungere un ulteriore livello di sicurezza alla password, un pepper non cambia. Come l'ingrediente segreto di uno chef, rimane lo stesso in tutti i piatti: negli account online degli utenti o, se fa parte del codice sorgente, nei loro database.

Come funziona l'aggiunta di un pepper alle password?

Il pepper cambia il valore che viene sottoposto a hashing, il che permette di ottenere un hash della password diverso e più sicuro. Può essere integrato nel codice sorgente del sito web o aggiunto manualmente dall'utente privato o aziendale.

Nel primo scenario, il titolare della piattaforma online sceglie il pepper, assumendosi la responsabilità dell'efficacia e della sicurezza del codice. Questo pepper viene utilizzato in tutto il database del sito web: non ne vengono aggiunti di individuali alle password degli utenti. Nel caso di una violazione dei dati, il pepper codificato in forma rigida potrebbe però creare più problemi che altro. Se i criminali informatici dovessero ottenere l'accesso al codice sorgente, potrebbero scoprire rapidamente il pepper, il che comprometterebbe le password sottoposte a hashing. Inoltre, in questa impostazione, cambiare il pepper violato implica la modifica del codice sorgente e la ridistribuzione dell'applicazione, che è piuttosto complicata.

Per questi motivi, ci concentreremo sul secondo scenario: l'aggiunta manuale di un pepper alle password. È necessario impostare un codice efficace e casuale (puoi usare il nostro generatore di password per crearne uno) e tenerlo al sicuro, separato dalle credenziali di accesso. Aggiungere un pepper alle credenziali di accesso implica che, anche se utilizzi un Password manager efficace come NordPass, dovrai comunque memorizzare il codice segreto o custodirlo in un luogo sicuro differente.

Aggiungere un pepper alle password per migliorare la sicurezza online

Aggiungere un pepper ti aiuta a proteggere i tuoi account nel caso in cui le password vengano compromesse. La crescita del numero di crimini informatici (l'attività criminale più redditizia al giorno d'oggi) indica che la prudenza non è mai troppa e che non si possono aggiungere troppi livelli di protezione. Nessun fornitore di servizi online è completamente al riparo dalle violazioni, come ha imparato LastPass a sue spese alla fine del 2022.

L'aggiunta di un pepper alle password è un processo manuale, che allunga i tempi di accesso agli account. Questa tecnica può essere scomoda, soprattutto se si è abituati a un'esperienza di login fluida, ma migliora sicuramente la sicurezza online.

Le persone sono ancorate alle loro abitudini e comodità, e tendono a rinunciare a pratiche di sicurezza troppo impegnative. Pertanto, sconsigliamo di aggiungere un pepper a tutte le password: meglio limitarsi a quelle più importanti. Ecco come fare:

  1. Crea un pepper efficace e complesso, ma facile da ricordare per te.

    Puoi pensare al pepper come a una password: più è lungo e difficile, meglio è. Fai in modo che la sequenza di bit sia casuale e usa diversi tipi di simboli. Tuttavia, non esagerare. Il modo migliore per proteggere il pepper è memorizzarlo!

  2. Crea una "password di base" e archiviala nel tuo Password manager.

    Usa un generatore di password per creare una stringa complessa di caratteri: sarà la tua "password di base". Poi, salvala nel vault crittografato del Password manager.

  3. Modifica le password dei tuoi account più importanti dopo aver aggiunto un pepper.

    Una volta creata la password di base, aggiungile il pepper: ne otterrai una nuova, che sarà quella effettiva da usare. Poi, aggiorna i tuoi account più importanti utilizzandola. Ora, tutte le volte che vorrai accedere all'account, dovrai aggiungere il pepper.

    Nota: puoi includere il pepper in qualsiasi punto della stringa di caratteri che costituisce la tua password di base. Tuttavia, per evitare di complicarla eccessivamente, aggiungilo all'inizio o alla fine.

  4. Non archiviare il pepper nel vault del Password manager.

    L'idea alla base dell'aggiunta di un pepper alle password non è quella di tenere tutte le uova in un unico paniere. In altre parole, è meglio non archiviare il codice segreto nel vault del Password manager. In un eventuale leak delle password, trapelerebbe anche il pepper. Per fare in modo che l'aggiunta del pepper alle password funzioni, tienilo al sicuro da qualche altra parte, preferibilmente in testa.

L'aggiunta di un pepper alle password da un punto di vista aziendale

In un'ottica aziendale, aggiungere un pepper alle password può causare più problemi che altro. Può interrompere la collaborazione e la condivisione delle informazioni tra i team, allungare i tempi dedicati ad attività che potrebbero essere facilmente automatizzate e compromettere i risultati delle verifiche di conformità e di sicurezza delle password.

Esaminiamo dunque altre misure di sicurezza più adatte all'ambiente aziendale. A differenza dell'aggiunta di un pepper alle password, le seguenti tecniche favoriscono la trasparenza e consentono una risposta immediata alle minacce informatiche.

  • Politica delle password

La politica delle password è un insieme di regole e linee guida per la creazione e la gestione delle password nell'organizzazione. Fornisce ai dipendenti informazioni sulla lunghezza che dovrebbero avere, sui tipi di caratteri che devono includere e sulla frequenza con cui bisogna modificarle. Se applicata automaticamente dal Password manager dell'organizzazione, la politica delle password consente agli amministratori della rete aziendale di controllare ogni password utilizzata internamente.

  • Qualità delle password

Le metriche relative alla qualità delle password permettono di monitorare quelle aziendali vulnerabili. La funzionalità Salute password di NordPass fornisce informazioni dettagliate riguardo alle password deboli, vecchie di oltre 90 giorni e riutilizzate, sulle quali i dipendenti fanno affidamento. Permette di eliminare il rischio di una violazione dei dati legata a password deboli invece di mitigare i risultati degli attacchi degli hacker.

  • Rilevatore violazioni dati

Rilevatore violazioni dati ti avvisa in tempo reale di tutti i leak di dati relativi alle e-mail e ai domini aziendali. Può davvero cambiare le carte in tavola poiché, secondo il rapporto sulla sicurezza dei dati 2023 di IBM, le aziende impiegano in media 277 giorni per identificare e arginare una violazione. Se intervieni subito sull'incidente di sicurezza, è probabile che i criminali informatici non abbiano abbastanza tempo per utilizzare le informazioni contro l'azienda.

Tendenze in materia di sicurezza delle password

Questi sono anni cruciali per la sicurezza delle password. Stiamo assistendo al passaggio a un metodo di autenticazione più semplice e sicuro: Le passkey. Queste ti consentono di accedere ai tuoi account online nello stesso modo in cui sblocchi lo smartphone, ovvero tramite impronta digitale o Face ID. Si tratta di una nuova tecnologia che coniuga la verifica biometrica con le chiavi crittografiche, riducendo i rischi di phishing, attacchi di forza bruta e altre minacce informatiche.

Alcuni dei più grandi giganti tecnologici, tra cui Amazon, Apple, Google e Meta, hanno già aderito alla FIDO Alliance, un'associazione di settore creata per "risolvere il problema delle password nel mondo". Anche NordPass fa parte di FIDO e, insieme ad altri membri, promuove attivamente l'uso delle passkey e le rende accessibili agli utenti. Ecco perché il nostro Password manager ti permette di archiviare, accedere e condividere le passkey in modo sicuro.

FAQ

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.